bg-blog-articles

ACME Protokolü Nedir? Otomatik Sertifika Yönetimi Kılavuzu

SSL/TLS sertifikaları web sitenizi ve hizmetlerinizi güvende tutar, ancak bunları manuel olarak yönetmek sıkıcı ve risklidir. İşte ACME protokolü burada devreye giriyor.

Otomatik Sertifika Yönetim Ortamının kısaltması olan ACME, sertifikaların verilmesini, yenilenmesini ve iptalini otomatikleştirerek manuel çalışmayı ortadan kaldırır ve süresi dolan sertifikaların sitenizi çevrimdışı hale getirme olasılığını azaltır.

ACME Protokolü Nedir

Başlangıçta Internet Security Research Group (ISRG) tarafından Let’s Encrypt için geliştirilen ACME, birden fazla sertifika yetkilisiyle çalışan ve şu anda dünya çapındaki kuruluşlar tarafından kullanılan bir endüstri standardı haline geldi.

Sertifika ömürleri kısalmaya devam ettikçe bu değişim daha önemli hale gelmektedir. Maksimum geçerlilik Mart 2026’dan itibaren 200 güne taşındı, Mart 2027’den itibaren 100 güne düştü ve 15 Mart 2029dan itibaren sadece 47 güne ulaştı. Bu noktada, manuel sertifika yönetimi artık hiçbir ölçekte pratik değildir.


İçindekiler

  1. ACME nedir?
  2. ACME Protokolü Nasıl Çalışır?
  3. ACME Tarafından Desteklenen Sertifika Türleri
  4. ACME Kullanmanın Faydaları
  5. Bir ACME İstemcisi Kurma
  6. ACME ve Diğer Kayıt Protokolleri

Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

ACME Protokolü nedir?

ACME protokolü veya Otomatik Sertifika Yönetim Ortamı, SSL/TLS sertifikalarının tüm yaşam döngüsünü otomatikleştirir. Verme, doğrulama, yükleme, yenileme ve iptal işlemlerini yönetmek için ACME istemcileri ve sertifika yetkilileri arasında standartlaştırılmış iletişim kullanarak manuel adımları ortadan kaldırır.

Protokol, bir ACME istem cisinin (sunucunuzda yüklü) insan müdahalesi olmadan sertifikaları talep etmek, doğrulamak ve yönetmek için bir ACME sunucusuyla (bir sertifika yetkilisi tarafından işletilen) iletişim kurduğu bir istemci-sunucu mimarisi kullanır. Bu otomasyon, süresi dolan sertifikaları önler, güvenlik risklerini azaltır ve BT ekiplerini tekrarlayan manuel görevlerden kurtarır.

ACME Protokolünün Evrimi

Internet Security Research Group, ACME yi özellikle 2015 yılında başlatılan ücretsiz kamu sertifika yetkilisi Let’s Encrypt için yarattı. İlk sürüm olan ACME v1, 2016 yılında çıktı ve konseptin geniş ölçekte çalıştığını kanıtladı.

2018’de ACME v2 önemli iyileştirmelerle birlikte geldi. Şunlar için destek ekledi joker karakter sertifikaları (bir etki alanı altındaki tüm alt etki alanlarını kapsayan) ve daha güçlü güvenlik için DNS TXT doğrulamasını tanıttı. ACME v2, IETF RFC 8555’i yayınladığında resmi standart haline geldi ve ACME v1 2021’de aşamalı olarak kaldırıldı.

ACME açık kaynaklı olduğu için sektördeki genel sertifika yetkilileri ve PKI satıcıları tarafından benimsenmiştir. Tek bir CA’ya bağlı kalmazsınız; birden fazla sağlayıcı arasından seçim yapabilir veya ihtiyaçlarınız değiştikçe bunlar arasında geçiş yapabilirsiniz. Bu esneklik, ACME’nin otomatik sertifika yönetimi için başvurulan protokol haline gelmesinin nedenlerinden biridir.


ACME Protokolü Nasıl Çalışır?

ACME bir istemci-sunucu modeli kullanır. Bir ACME istemcisi sunucunuzda veya cihazınızda çalışır ve bir sertifika yetkilisi tarafından işletilen bir ACME sunucusuyla iletişim kurar. Tüm değişim HTTPS üzerinden gönderilen JSON mesajlarını kullanır, bu nedenle hem güvenli hem de standartlaştırılmıştır.

İşte temel iş akışı:

  1. Temsilcinizi ve etki alanınızı seçin. Sunucunuza bir ACME istemcisi ( Certbot veya Caddy gibi) yüklersiniz ve ona hangi etki alanını güvence altına almak istediğinizi söylersiniz.
  2. Bir CA seçin. İstemcinizi ACME uyumlu bir sertifika yetkilisine yönlendirin-DigiCert, Sectigo veya protokolü destekleyen başka bir CA.
  3. Bir anahtar çifti ve CSR oluşturun. İstemci, etki alanı bilgilerinizle birlikte bir özel anahtar ve bir sertifika imzalama isteği (CSR) oluşturur.
  4. Etki alanı kontrolünü kanıtlayın. CA, alan adını kontrol ettiğinizi kanıtlamanız için sizi zorlar. HTTP-01 meydan okuması (web sunucunuza bir dosya yerleştirerek) veya DNS-01 meydan okuması (DNS’inize bir TXT kaydı ekleyerek) ile yanıt verebilirsiniz.
  5. Bir nonce imzalayın. İstemci, özgünlüğünü kanıtlamak için özel anahtarınızla benzersiz bir nonce (tek seferlik rastgele bir değer) imzalar.
  6. Sertifikanızı alın. CA her şeyi doğrular ve size X.509 sertifikası. Sertifika ACME istemcisine teslim edilir ve otomatik olarak yüklenir.

Yenileme ve iptal de aynı süreci izler. İstemci, eski sertifikanın süresi dolmadan önce yeni bir sertifika talep edebilir veya güvenliği ihlal edilmiş bir sertifikayı manuel müdahale olmadan iptal edebilir.


ACME Tarafından Desteklenen Sertifika Türleri

ACME öncelikle, yalnızca etki alanını kontrol ettiğinizi doğrulayan Etki Alanı Onaylı (DV) sertifikalar düzenler. Bunlar en hızlı verilen sertifikalardır ve çoğu web sitesi ve hizmet için iyi çalışır.

Organization-Validated (OV) ve Extended Validation (EV) sertifikaları, kuruluşunuzun kimliğini doğrulamak için iş belgeleri gibi ek kanıtlar gerektirir. ACME, OV ve EV sertifikalarını destekleyebilir, ancak protokolün kendisi iş doğrulamasını ele almadığı için manuel doğrulama adımlarını eklemeniz gerekir. Bazı CA’lar, daha yüksek güvenceli sertifikalar için ACME otomasyonunu insan incelemesiyle birleştiren hibrit iş akışları sunar.

Joker karakter sertifikaları özel olarak anılmayı hak ediyor. ACME v2, bir etki alanı altındaki tüm alt etki alanlarını (*.example.com gibi) güvence altına alan joker karakterler için yerel destek ekledi. Bir joker karakter sertifikası yayınlamak için, DNS bölgenize bir TXT kaydı ekleyerek bir DNS-01 meydan okumasını tamamlamanız gerekir, çünkü HTTP meydan okumaları tüm olası alt alan adları üzerinde kontrolü kanıtlayamaz. Bu DNS doğrulaması bir güvenlik katmanı ekler ve joker sertifikaları daha güvenilir hale getirir.


Save 10% on SSL Certificates when ordering from SSL Dragon today!

Fast issuance, strong encryption, 99.99% browser trust, dedicated support, and 25-day money-back guarantee. Coupon code: SAVE10

A detailed image of a dragon in flight

ACME Kullanmanın Faydaları

  • Otomasyon Manuel Çalışmayı Ortadan Kaldırır. Manuel sertifika yönetimi yavaş ve hataya açıktır. ACME, CSR’ler oluşturmak, ACME sertifikalarını kopyalayıp yapıştırmak veya takvim hatırlatıcıları ayarlamak zorunda kalmamanız için her adımı (yayınlama, yükleme, yenileme ve iptal) otomatikleştirir. Bu otomasyon insan hatalarını azaltır ve ekibinizin daha önemli işlere odaklanmasını sağlar.
  • Otomatik Yenileme Sayesinde Geliştirilmiş Güvenlik. Süresi dolan sertifikalar kesintilere ve güvenlik uyarılarına neden olur. ACME, sertifikaları süresi dolmadan önce otomatik olarak yenileyerek gelişmiş güvenlik sağlar, böylece son yenileme tarihini unutma konusunda endişelenmenize gerek kalmaz. Bu, hizmetlerinizi çevrimiçi ve kullanıcılarınızı güvende tutar.
  • Maliyet Tasarrufu ve Daha İyi Görünürlük. Let’s Encrypt gibi birçok ACME uyumlu CA, ücretsiz DV sertifikaları sunar. Ticari bir CA kullansanız bile, otomasyon ACME sertifikalarını yönetmenin işçilik maliyetini azaltır. Ayrıca, ACME’yi bir sertifika yönetim platformuyla entegre ettiğinizde, tüm sertifikalarınızın (son kullanma tarihleri, düzenleme durumu ve yaşam döngüsü olayları) merkezi bir görünümünü elde edersiniz; böylece hiçbir şey gözden kaçmaz.
  • CA Çevikliği. ACME’nin açık standardı, tek bir satıcıya bağlı kalmayacağınız anlamına gelir. CA’nızda bir kesinti olursa veya sağlayıcı değiştirmek isterseniz, otomasyonunuzu yeniden yazmadan ACME istemcinizi farklı bir CA’ya yönlendirebilirsiniz. Bu CA-agnostik yaklaşım size esneklik sağlar ve satıcı kilitlenmesini önlemenize yardımcı olur.
  • Açık Kaynaklı ve Erişilebilir. ACME, lisans ücreti olmayan açık bir protokoldür. Herkes bir ACME istemcisi veya sunucusu uygulayabilir ve gelişen bir araç ekosistemi mevcuttur. Bu açıklık yeniliği teşvik eder ve otomatik sertifika yönetimini her büyüklükteki kuruluş için kullanılabilir hale getirir.

Tüm bu avantajlar daha az kesinti, daha iyi uyumluluk ve daha güvenli bir altyapı anlamına gelir. ACME, sertifika yönetimini yinelenen bir baş ağrısından sadece çalışan bir arka plan görevine dönüştürür.


Bir ACME İstemcisi Kurma

ACME ile çalışmaya başlamak kolaydır. İşte adım adım bir kılavuz:

1. Uyumlu bir ACME istemcisi seçin ve etki alanınızı belirtin.
Ortamınızla çalışan bir ACME istemcisi seçin. Popüler seçenekler şunlardır:

  • Certbot – Electronic Frontier Foundation tarafından sürdürülen en yaygın kullanılan istemci
  • Caddy – yerleşik ACME desteğine sahip bir web sunucusu
  • ACMESharp – Windows ortamları için bir PowerShell modülü
  • GetSSL – Unix benzeri sistemler için basit bir bash betiği
  • Posh-ACME – gelişmiş özelliklere sahip başka bir PowerShell seçeneği

Müşteriye hangi etki alanını (veya etki alanlarını) güvence altına almak istediğinizi söyleyin.

2. İstemcinizle uyumlu bir CA seçin.
İstemcinizi bir ACME sunucusuna yönlendirin. Let’s Encrypt en yaygın seçimdir, ancak Sectigo, Keyfactor ve diğer ticari CA’lar da ACME uç noktaları sunar. ACME v2 uyumlu bir sunucu kullandığınızdan emin olun-ACME v1 kullanımdan kaldırılmıştır.

3. Bir anahtar yetkilendirme çifti oluşturun.
İstemci bir özel anahtar oluşturur ve bunu bir sertifika imzalama isteği oluşturmak için kullanır. Bu anahtar çifti oluşturma işlemi ACME istemcisi tarafından otomatik olarak gerçekleştirilir. Özel anahtarınızı güvende tutun; bu,sertifikanızın güvenilirliğinin temelidir.

4. Etki alanı kontrolünü kanıtlamak için bir zorluk çözün.
Kurulumunuza bağlı olarak, bir HTTP-01 zorluğunu (web sunucunuzda bir dosya barındırma) veya bir DNS-01 zorluğunu (DNS’nize bir TXT kaydı ekleme) tamamlayacaksınız. Wildcard sertifikaları için DNS-01 gereklidir. İstemci, DNS sağlayıcınıza API erişimi varsa bunu genellikle otomatik olarak halleder.

5. Nonce’u özel anahtarınızla imzalayın.
CA benzersiz bir nonce gönderir ve istemci bunu özel anahtarınızla imzalar. Bu, anahtar çiftini kontrol ettiğinizi kanıtlar ve yeniden oynatma saldırılarını önler.

6. Sertifikaları otomatik olarak vermeye, yenilemeye ve iptal etmeye başlayın.
CA yanıtlarınızı doğruladıktan sonra ACME sertifikanızı verir. İstemci bunu yükler ve otomatik yenilemeyi ayarlar. Bu noktadan sonra, sertifikalar manuel müdahale olmadan arka planda yenilenir.

İpucu: ACME v2 ile devam edin. Bu güncel standarttır ve daha iyi güvenlik ve özellikler sunar. ACME v1 artık çoğu CA tarafından desteklenmemektedir.


ACME ve Diğer Kayıt Protokolleri

ACME, sertifika kaydını otomatikleştirmek için kullanılan tek protokol değildir. İki eski protokol -SCEP (Basit Sertifika Kayıt Protokolü) ve EST (Güvenli Aktarım Üzerinden Kayıt)- de mevcuttur, ancak her birinin sınırlamaları vardır.

SCEP ilk sertifika verme işlemini otomatikleştirir ve kurumsal ortamlarda cihaz kaydı için yaygın olarak kullanılır. Ancak SCEP, iptal veya yenileme işlemlerini iyi bir şekilde ele almaz, bu nedenle tüm sertifika yaşam döngüsünü yönetmek için ek araçlara veya manuel süreçlere ihtiyacınız vardır. Bu, modern otomasyon ihtiyaçlarını önceleyen eski bir protokoldür.

EST, kayıt ve yenilemeyi otomatikleştiren daha yeni bir standarttır, ancak ACME ile aynı düzeyde benimsenmemiştir. Daha az sayıda CA ve istemci EST’yi desteklemektedir, bu da gerçek dünyadaki dağıtımlarda kullanışlılığını sınırlamaktadır.

ACME, tüm yaşam döngüsünü (yayınlama, yenileme ve iptal) tek bir protokolde yönetmesi nedeniyle öne çıkmaktadır. Topluluk odaklıdır, RFC 8555’te açıkça belgelenmiştir ve çok çeşitli sertifika yetkilileri ve açık kaynaklı araçlar tarafından desteklenmektedir. Çoğu kuruluş için ACME’nin otomasyon, esneklik ve ekosistem desteği kombinasyonu onu tercih edilen seçenek haline getirir.


En İyi Uygulamalar ve Dikkat Edilecek Hususlar

  • ACME v2 kullanın ve RFC 8555 ile güncel kalın. ACME v1 kullanımdan kaldırılmıştır. İstemcilerinizin ve sunucularınızın ACME v2’yi desteklediğinden emin olun ve güvenlik iyileştirmelerinden ve yeni özelliklerden yararlanmak için araçlarınızı güncel tutun.
  • Joker sertifikalar için DNS-01 zorluklarını tercih edin. Bir alan adı altındaki tüm alt alan adlarının güvenliğini sağlamanız gerekiyorsa, DNS-01 doğrulamalı bir joker sertifika kullanın. HTTP-01 meydan okumaları tüm olası alt alan adları üzerinde kontrol sağlayamaz, bu nedenle DNS tek seçenektir. ACME istemcinize DNS sağlayıcınıza API erişimi vererek bunu otomatikleştirin.
  • Esneklik için yedek bir CA bulundurun. CA çevikliği ACME’nin güçlü yönlerinden biridir. Birincil CA’nızda bir kesinti olması durumunda otomasyonunuzu ikincil bir CA’ya devredecek şekilde yapılandırın. Bu, bir sağlayıcıda sorun olsa bile sürekli sertifika verilmesini sağlar.
  • ACME’yi bir sertifika yönetim platformuyla entegre edin. Daha büyük dağıtımlar için ACME otomasyonunuzu Keyfactor, AppViewX veya CyberArk gibi bir platforma bağlayın. Bu araçlar size tüm sertifikalarınızda görünürlük sağlar, politikaları uygulamanıza yardımcı olur ve altyapınızı denetlemenizi kolaylaştırır.
  • Özel anahtarlarınızı güvence altına alın. Otomasyonda bile güvenlik önemlidir. Özel anahtarları donanım güvenlik modüllerinde (HSM’ler) saklayın veya yüksek güvence ortamları için cihaz doğrulama yöntemlerini (Apple’ın Secure Enclave’i gibi) kullanın. SecureW2’nin Bulut RADIUS ile Dinamik PKI’sı gibi araçlar, cihaz kimliğini sertifika iş akışlarınıza entegre etmenize yardımcı olabilir.
  • Sertifika son kullanma tarihlerini izleyin. Otomasyon güvenilirdir, ancak kusursuz değildir. Bir sertifika yenilenmeden süresinin dolmasına yaklaştığında sizi bilgilendirecek uyarılar ayarlayın. Bu, otomasyonunuzda bir şeylerin ters gitmesi durumunda size bir güvenlik ağı sağlar.

Sertifika Yaşam Döngünüzü Otomatikleştirmeye Hazır mısınız?

Süresi dolan sertifikalar ve manuel yenilemeler için endişelenmeyi bırakın. SSL Dragon, Sectigo ve DigiCertgibi güvenilir otoritelerden ACME uyumlu SSL sertifikalarını yılda sadece 25 $’dan başlayanfiyatlarla sunar. Sınırsız yeniden düzenleme, 500.000 $+ garanti kapsamı ve 7/24 teknik destek ile otomatik düzenleme, yenileme ve yönetim elde edin.

İster Domain Validated (DV), ister Organization-Validated (OV) veya Extended Validation (EV) sertifikalarına ihtiyacınız olsun, ACME çözümlerimiz Certbot, acme.sh ve daha fazlası gibi popüler istemcilerle sorunsuz bir şekilde entegre olur.

ACME SSL Sertifikalarını Keşfedin

Bugün SSL Dragon’dan sipariş vererek SSL Sertifikalarında %10 indirimden yararlanın!

Hızlı düzenleme, güçlü şifreleme, %99,99 tarayıcı güvenilirliği, özel destek ve 25 günlük para iade garantisi. Kupon kodu: SAVE10

A detailed image of a dragon in flight
Tarafından yazıldı

SSL Sertifikaları konusunda uzmanlaşmış deneyimli içerik yazarı. Karmaşık siber güvenlik konularını açık, ilgi çekici içeriğe dönüştürmek. Etkili anlatımlar yoluyla dijital güvenliğin geliştirilmesine katkıda bulunun.